Trickbot-Trojaner hebelt Benutzerkontensteuerung von Windows 10 aus

Eine neue Variante nutzt einen als Fodhelper bezeichneten Bypass. Dabei kommt eine legitime Windows-Datei zum Einsatz. Sie soll Nutzern eigentlich helfen, auch ohne Administratorrechte bestimmte Programme auszuführen.

Der Sicherheitsforscher Vitali Kremez, Chef von Sentinel Labs, hat eine neue Version des Windows-Trojaners Trickbot entdeckt. Sie ist in der Lage, die Benutzerkontensteuerung von Windows 10 auszuhebeln, wie Bleeping Computer berichtet. Es ist also möglich, die Schadsoftware auf einem System zu installieren, ohne das eine Warnmeldung angezeigt wird.

Malware (Bild: Shutterstock/Blue Island)Die Benutzerkontensteuerung umgeht der Trojaner mithilfe des bereits 2017 entdeckten Fodhelper UAC Bypass. Der Name stammt von dem legitimen Microsoft-Tool „fodhelper.exe“, dass sich im Ordner „Windows\System32“ befindet. Es erlaubt es, andere Programme ohne Administratorrechte auszuführen.

„Fodhelper-exe ist eine vertrauenswürdige Datei von Windows 10, die Trickbot nutzt, um Schadcode über die Registry-Methode bei Umgehung der Benutzerkontensteuerung auszuführen“, zitiert Bleeping Computer den Forscher. Da Windows 10 Fodhelper aus vertrauenswürdig einstuft, ist eine automatische Ausweitung von Benutzerrechten möglich, ohne dass die Benutzerkontensteuerung eingreift. Auch bei Programmen, die von Fodhelper gestartet werden, erscheint keine Nachfrage.

Diesen Umstand macht sich Trickbot zunutze, um sich selbst zu starten. Da keine Warnung der Benutzerkontensteuerung erscheint, sind Nutzer auch nicht in der Lage zu erkenne, dass eine Schadsoftware auf ihrem Rechner läuft.

Bleeping Computer weist darauf hin, dass mit der zunehmenden Verbreitung von Windows 10 immer mehr Schadprogramme gezielt das Betriebssystem und dessen Sicherheitsfunktionen ins Visier nehmen. Beispiele seien der Banking-Trojaner Rootkit, der ebenfalls auf den Fodhelper-Bypass zurückgreift. TrickBot versuche wiederum seit Juli 2019, verschiedene Scan-Optionen von Windows Defender abzuschalten.

WEBINAR

HPE GreenLake: Optimale Basis für Ihre Cloud

HPE GreenLake ist ein IT-as-a-Service-Angebot, das das Cloud-Erlebnis in Ihre On-Premises-Infrastruktur bringt und Ihre Edges, Clouds und Rechenzentren vereinheitlicht. Lernen Sie in diesem Webinar, wie Sie die Vorteile der HPE-Lösung optimal für Ihr Unternehmen nutzen.

Themenseiten: Malware, Microsoft, Security, Sicherheit, Windows 10

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Trickbot-Trojaner hebelt Benutzerkontensteuerung von Windows 10 aus

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *